20222月29日,美国网络安全和基础设施安全局 (CISA) 能源部 (DoE) 联合发布了关于减少联网连续电源 (UPS) 设备攻击指南。CISA和DoE警告组织和企业,小心攻击者使用默认用户名和密码对联网的不间断电源 (UPS) 攻击设备。
众所周知,UPS它是一种含有储能装置的不间断电源,主要用于为一些对电源稳定性要求较高的设备提供不间断电源。断电时,市电输入正常时,UPS通过逆变器切换和转换,立即向负载供应电池的直流电能220V交流电,保持负载正常工作,保护负载软硬件免受损坏。
而针对UPS设备攻击的最终目的是依赖电源稳定性的物理设备和 IT 资产极端攻击。
因此,建议组织立即检查所有指南UPS类似的系统,并确保它们不能从互联网上访问。必须在线访问UPS在设备的情况下,CISA和DoE建议组织实施以下措施:
- 确保通过虚拟专用网络访问设备;
- 强制执行多因素身份验证;
- 使用强密码或密码短语根据美国国家标准和技术研究院指南;
此外,CISA还建议组织立即对当前使用中的组织进行自查UPS设备凭证是否仍为出厂默认设置,将大大提高黑客攻击的成功率。该指南还发布了企业如何应对UPS设备攻击,以及快速应急响应的最佳实践。
机房数据中心的噩梦
CISA和DoE之所以联合发布警告,很大程度上是因为此前Armis研究人员在公司APC Smart-UPS在设备中发现了三个关键的零天漏洞,黑客可以接管 Smart-UPS设备,并发起网络攻击,将对极度依赖电源的数据中心机房造成难以形容的损失。
更糟糕的是,施耐德电气子公司APC是UPS其中一家设备供应巨头在全球销售了2000多万台设备,广泛应用于医疗、零售、工业等部门。现在这些设备都在黑客攻击范围内,购买这些设备的企业也面临着巨大的网络攻击风险。
未经身份验证的网络数据包可以触发这三个零日漏洞,无需任何用户交互,危害极大。以下是其具体信息:
- CVE-2022-22805(CVSS分数:9.0)——TLS缓冲区溢出;
- CVE-2022-22806(CVSS分数:9.0)——TLS绕过身份验证;
- CVE-2022-0715(CVSS评分:8.9)–未签名固件可以通过网络更新升级。
前两个漏洞(CVE-2022-22805和CVE-2022-22806)存在于TLS(传输层安全)协议实施时,协议将有SmartConnect”功能的Smart-UPS该设备连接到施耐德电气管理云。
第三个漏洞(CVE-2022-0715),几乎所有APC Smart-UPS设备”的固件有关,该固件未经过加密签名,安装在系统上时无法验证其真实性。虽然固件是加密的(对称的),但它缺乏加密签名,允许攻击者创建它的恶意版本并将其作为更新交付给目标UPS实现远程代码执行的设备(RCE)。
20223月8日,施耐德电气表示,这些漏洞被归类为严重和高严重性SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已经开始发布包含这些漏洞的固件更新。施耐德为没有固件补丁的产品提供了一系列缓解措施,以降低风险。
参考来源:https://securityaffairs.co/wordpress/129620/security/cisa-doe-warn-attacks-ups.html